Daten-Leck im Online-Casino: 108 Millionen Nutzer-Daten offengelegt
Eine Online-Casino-Gruppe mit Sitz in Zypern und Curaçao ließ Informationen zu 108 Millionen Wetten offen auf dem Server liegen, bevor er vom Netz genommen wurde.
Wie die IT-Nachrichtenseite ZDNet [Seite auf Englisch] am vergangenen Montag berichtete, hatte der Elasticsearch-Server keinen Kennwortschutz. ElasticSearch Server werden von Websites für Indizierungs- und Suchzwecke verwendet und werden normalerweise in internen Netzwerken installiert.
Was ist Elasticsearch?
Elasticsearch ist eine Such- und Analyseplattform, die zusammen mit den Suchmaschinen Solr und Splunk den Markt anführt und im Jahr 2010 erschienen ist. Elasticsearch baut auf der Software Apache Lucene auf. Hierbei handelt es sich um eine Programmbibliothek, die in der Programmiersprache Java verfasst ist.
Elasticsearch wird als eine der wichtigsten Volltextsuchmaschinen mittlerweile von vielen großen Unternehmen wie Zalando oder Facebook genutzt. Der Suchserver bietet die Möglichkeit, eine eigene Suchfunktion einzubetten. Die Suche mit Elasticsearch funktioniert über einen Index. Das Programm indexiert alle gespeicherten Dokumente und ermöglicht es, einen Suchserver aufzubauen, der sich auf einem einzelnen Gerät befinden, aber auch auf mehrere Servern verteilt werden kann.
Der Suchserver ist normalerweise nicht dazu bestimmt, online verfügbar zu sein, da er meist sensible Unternehmensinformationen enthält. Der Sicherheitsexperte Justin Paine jedoch fand eine Elasticsearch-Instanz, die online verfügbar und ohne Sicherheitsschutz zugänglich war. Er erkannte auf den ersten Blick, dass der Server Daten enthielt, die von einem Online-Glücksspielportal stammten.
Eines oder mehrere Unternehmen betroffen?
Obwohl es sich um einen einzigen Server handelte, waren darauf Informationen enthalten, die von mehreren Webdomains stammten. Möglich ist, dass sie aufgrund eines Affiliate-Systems hier zusammengetragen waren.
Die Daten waren auf einem indexbasierten Suchserver gespeichert. (Bild: Wikipedia/Jakob Voss)
Dabei arbeitet ein Unternehmen online mit mehreren Vertriebs-Partnern zusammen, die für ihre Tätigkeiten eine Provision erhalten und deren Daten daher gemeinsam auf dem Server gesammelt werden. Eine andere Möglichkeit ist, dass die Informationen von einem größeren Unternehmen stammen, das mehrere Glücksspiel-Portale betreibt.
Nach einer Analyse der Daten schlussfolgerte Paine, dass es sich bei sämtlichen Domains um Online-Casinos handelte, bei denen die Nutzer unter anderem klassische Karten- und Slot-Spiele spielten. Einige der betroffenen Domains sind kahunacasino.com, azur-casino.com und easybet.com.
Einige der Domains konnten einer einzigen Firma zugeordnet werden. Andere Unternehmen haben ihren Sitz im selben Gebäude oder verfügen über dieselbe Lizenznummer. Daher ist die wahrscheinlichste Erklärung, dass es sich um ein einziges Unternehmen handelt, das mehrere Portale betreibt. Namentlich genannt wurde kein Unternehmen, eines der Portale kann jedoch der Mountberg Ltd. zugeordnet werden.
Sensible Nutzerdaten offengelegt
Die Daten, die auf dem Elasticsearch-Server offenlagen, enthielten eine Reihe sensibler Informationen, wie Namen, Adressen, E-Mail-Adressen und Telefonnummern der Nutzer. Weiterhin konnten Login-Informationen, Informationen zu den gespielten Spielen und Kreditkarteninformationen eingesehen werden.
Insgesamt wurden über 108 Datensätze gefunden, die neben diesen Daten Angaben zu aktuellen Wetten, Gewinnen und Auszahlungen enthielten. Allerdings waren die Informationen zu den Karten zum Teil geändert worden und wurden dementsprechend nicht vollständig offengelegt.
Besonders kritisch ist allerdings, dass nicht nur Namen und Adressen der Spieler einsehbar waren, sondern auch Informationen zu Gewinnen. Damit könnten Spieler, die größere Geldsummen gewonnen haben, leicht ins Visier von Betrügern oder Erpressern geraten.
Meldepflichten bei Datenpannen
Nach Bekanntgabe des Daten-Lecks wurden alle betroffenen Online-Portale per Mail kontaktiert. Der Server wurde am 21. Januar vom Netz genommen. Gestern erhielt ZDNet eine Stellungnahme von einem Sprecher der Mountberg Limited:
„Dies ist ein Vorfall, aus dem sowohl unser Unternehmen als auch der gesamte iGaming-Sektor einen Nutzen ziehen sollte. Wir arbeiten in einem dynamischen, technologischen Umfeld, das sich ständig ändert und rasant weiterentwickelt. Cyber Security ist ein unverzichtbarer Bestandteil jedes Online-Unternehmens in diesem technologischen Paradigma und wir sind stolz darauf, an der Spitze technologischer Entwicklungen zu stehen. Dank der Identifikation des Datenlecks konnten wir die Sicherheitsprotokolle und -verfahren neu bewerten und wir denken, dass dies langfristig unsere Verteidigung gegen solche Fälle stärken wird.“
Daten-Lecks sind in den vergangenen Jahren im öfter ins Blickfeld der Öffentlichkeit geraten. Sie haben nicht nur Unternehmen, sondern ganze Regierungen betroffen. Der wohl bedeutendste Fall ist die Enthüllungsplattform WikiLeaks, die im Oktober 2010 geheime US-Militärdokumente veröffentlichte.
In der Europäischen Union gibt es seit dem 25. Mai 2018 aufgrund der Datenschutzgrundverordnung eine Meldepflicht für Daten-Lecks, die alle EU-Staaten betrifft. In Deutschland müssen Unternehmen Datenpannen bereits seit 2009 melden, sofern es sich um personenbezogene Daten handelt, die vom Leck betroffen sind.
Wer seiner Meldepflicht nicht nachkommt, beispielsweise um sein Unternehmens-Image zu schützten, kann mit einer Geldbuße von bis zu 300.000 Euro belegt werden, in besonderen Fällen sogar mit einer Freiheitsstrafe. Ausgenommen von dieser Regelung sind bislang allerdings die Behörden.